系统安全配置技术规范-W i n d o w s-标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII系统安全配置技术规范—Windows212211文档说明（一）变更信息（二）文档审核人目录1. 适用范围 ..................................................................................................... 错误!未定义书签。

2. 帐号管理与授权 ......................................................................................... 错误!未定义书签。

【基本】删除或锁定可能无用的帐户 ................................................. 错误!未定义书签。

【基本】按照用户角色分配不同权限的帐号 ..................................... 错误!未定义书签。

【基本】口令策略设置不符合复杂度要求 ......................................... 错误!未定义书签。

【基本】设定不能重复使用口令......................................................... 错误!未定义书签。

不使用系统默认用户名 .................................................................... 错误!未定义书签。

口令生存期不得长于90天 .............................................................. 错误!未定义书签。

设定连续认证失败次数 .................................................................... 错误!未定义书签。

远端系统强制关机的权限设置 ........................................................ 错误!未定义书签。

关闭系统的权限设置 ........................................................................ 错误!未定义书签。

取得文件或其它对象的所有权设置 ................................................ 错误!未定义书签。

将从本地登录设置为指定授权用户 ................................................ 错误!未定义书签。

将从网络访问设置为指定授权用户 ................................................ 错误!未定义书签。

3. 日志配置要求 ............................................................................................. 错误!未定义书签。

【基本】审核策略设置中成功失败都要审核 ..................................... 错误!未定义书签。

【基本】设置日志查看器大小............................................................. 错误!未定义书签。

4. IP协议安全要求 ......................................................................................... 错误!未定义书签。

开启TCP/IP筛选................................................................................ 错误!未定义书签。

启用防火墙 ........................................................................................ 错误!未定义书签。

启用SYN攻击保护............................................................................ 错误!未定义书签。

5. 服务配置要求 ............................................................................................. 错误!未定义书签。

【基本】启用NTP服务 ........................................................................ 错误!未定义书签。

【基本】关闭不必要的服务................................................................. 错误!未定义书签。

【基本】关闭不必要的启动项............................................................. 错误!未定义书签。

【基本】关闭自动播放功能................................................................. 错误!未定义书签。

【基本】审核HOST文件的可疑条目 .................................................. 错误!未定义书签。

【基本】存在未知或无用的应用程序 ................................................. 错误!未定义书签。

【基本】关闭默认共享......................................................................... 错误!未定义书签。

【基本】非EVERYONE的授权共享 ......................................................... 错误!未定义书签。

【基本】SNMP C OMMUNITY S TRING设置................................................. 错误!未定义书签。

【基本】删除可匿名访问共享 ........................................................ 错误!未定义书签。

关闭远程注册表 ................................................................................ 错误!未定义书签。

对于远程登陆的帐号，设置不活动断开时间为1小时................. 错误!未定义书签。

IIS服务补丁更新 ............................................................................... 错误!未定义书签。

6. 其它配置要求 ............................................................................................. 错误!未定义书签。

【基本】安装防病毒软件..................................................................... 错误!未定义书签。

【基本】配置WSUS补丁更新服务器 ................................................. 错误!未定义书签。

【基本】S ERVICE P ACK补丁更新 ............................................................. 错误!未定义书签。

【基本】H OTFIX补丁更新...................................................................... 错误!未定义书签。

设置带密码的屏幕保护 .................................................................... 错误!未定义书签。

交互式登录不显示上次登录用户名 ................................................ 错误!未定义书签。

1.适用范围如无特殊说明，本规范所有配置项适用于Windows操作系统 2003、2008系列版本。

其中标示为“基本”字样的配置项，均为本公司对此类系统的基本安全配置要求；未标示“基本”字样的配置项，请各系统管理员视实际需求酌情遵从。

2.帐号管理与授权2.1【基本】删除或锁定可能无用的帐户2.2【基本】按照用户角色分配不同权限的帐号2.3【基本】口令策略设置不符合复杂度要求2.4【基本】设定不能重复使用口令2.5不使用系统默认用户名2.6口令生存期不得长于90天2.7设定连续认证失败次数2.8远端系统强制关机的权限设置2.9关闭系统的权限设置2.10取得文件或其它对象的所有权设置2.11将从本地登录设置为指定授权用户2.12将从网络访问设置为指定授权用户3.日志配置要求3.1【基本】审核策略设置中成功失败都要审核3.2【基本】设置日志查看器大小4.IP协议安全要求4.1开启TCP/IP筛选4.2启用防火墙4.3启用SYN攻击保护5.服务配置要求5.1【基本】启用NTP服务5.2【基本】关闭不必要的服务5.3【基本】关闭不必要的启动项5.4【基本】关闭自动播放功能5.5【基本】审核HOST文件的可疑条目5.6【基本】存在未知或无用的应用程序5.7【基本】关闭默认共享5.8【基本】非everyone的授权共享5.9【基本】SNMP Community String设置5.10【基本】删除可匿名访问共享5.11关闭远程注册表5.12对于远程登陆的帐号，设置不活动断开时间为1小时5.13I IS服务补丁更新6.其它配置要求6.1【基本】安装防病毒软件6.2【基本】配置WSUS补丁更新服务器6.3【基本】Service Pack补丁更新6.4【基本】Hotfix补丁更新6.5设置带密码的屏幕保护6.6交互式登录不显示上次登录用户名。